Registries planen für neue Top-Level-Domains, DNSSEC und IPv6

Nic.at, Betreiberin der österreichischen Länderadresszone im Internet, will Backend-Registry für neue Adresszonen werden. Bei der Fachkonferenz "Domainpulse" der drei Registries für den deutschsprachigen Raum, die in Dresden stattfand, sagte nic.at-Geschäftsführer Richard Wein, man sehe sich etwa als Partner für Bewerbungen um .wien oder andere touristisch relevante Top-Level-Domains für Österreich. Sein Schweizer Kollege Urs Eppenberger sagte für die Stiftung SWITCH, die .ch und .li betreut, auch sie plane, TLD-Bewerbungen "zu unterstützen."

Fraglich sei, wie viele Schweizer Domains a la .matterhorn die Nutzer noch "fressen" würden. Das deutsche DeNIC hatte nach seiner fehlgeschlagenen Bewerbung um .net vor einigen Jahren angekündigt, sich künftig auf den .de-Betrieb konzentrieren zu wollen. Geschäftsführerin Sabine Dolderer sagte gegenüber heise online nun, ein kategorisches Nein zu einer möglichen Rolle als Backend-Provider sei das aber nicht.

Alle drei deutschsprachigen Registries befassen sich seit der sogenannten Kaminsky-Attacke verstärkt mit DNS Security Extensions (DNSSEC). Einen definitiven Plan, das zur Authentifizierung von Serverantworten entwickelte Protokoll einzuführen, meldete allerdings vorerst nur Eppenberger für SWITCH. "Wir machen es einfach und schauen, was auf uns zukommt", sagte er. Die Sicherheitsabteilung seiner Registry wolle ihre Kontakte zu Schweizer Banken nutzen und inbesondere auch nachfragen, wie diese mit DNSSEC umgehen.

Wein berichtete dagegen für Österreich von erheblichen Problemen mit DNSSEC. "Wir haben eine Test-Infrastruktur aufgebaut und könnten DNSSEC fahren", sagte er. Allerdings habe man mit massiven Störungen im Echtbetrieb zu rechnen, insbesondere wegen Problemen mit Firewall und Router. Besonders gravierend sei auch, dass es kein einheitliches Verfahren für den Austausch der Schlüssel gebe. Weins Fazit lautete, dass das Protokoll sowohl technisch wie auch politisch und in der administrativen Abwicklung noch zu unausgereift sei. "Wir werden abwarten", sagte er.

Das DeNIC plant 2009 zwar einen Testlauf, wie CTO Jörg Schweiger ankündigte. Eine grundsätzliche Entscheidung für oder gegen DNSSEC sei aber im laufenden Jahr nicht zu erwarten. Es sei allen klar, dass die Gegenmaßnahmen gegen die von Kaminsky aufgedeckte Schwachstelle im DNS auf Dauer keine Lösung seien. DNSSEC würde allerdings nicht nur dem DeNIC, sondern auch den ISPs, den Registraren und Softwareherstellern erhebliche Investitionen abverlangen, ohne dass Domains dadurch teurer verkauft werden könnten. Dennoch habe sich das DeNIC zu einem Testlauf entschlossen. Man wolle spezielle Austauschpunkte einrichten und darüber DNSSEC-signierte Anfragen und Antworten austauschen. Registrare und ISPs seien eingeladen, sich zu beteiligen, sagte Schweiger.

Noch viel zu tun gibt es auch im Bereich IPv6, allerdings nicht so sehr für die drei Registries selbst. Beim DeNIC sei IPv6 bereits Normalität, bei nic.at stehe man "Gewehr bei Fuß", berichteten die Registry-Vertreter. Allerdings hält sich die Nachfrage sehr in Grenzen. Der Bereich von nic.at verzeichnet aktuell 12 Ipv6-Nameserver, beim DeNIC sind es 64, die gerade mal 30 Domains bedienen. Deutlich größeres Interesse gibt es offenbar in der Schweiz und Liechtenstein: 192 IPv6-Nameserver bedienen hier 44.000 Domains. "Das sind vier Prozent – nicht viel, aber es ist etwas da", sagte Eppenberger. SWITCH werde sich daher 2009 verstärkt um IPv6 kümmern und bei Providern für den Einsatz werben.

SWITCH und nic.at wollen außerdem im laufenden Jahr die klassische E-Mail-Kommunikation mit ihren Registraren aufgeben und komplett auf das Registry-Registrar-Protokoll EPP setzen. Das DeNIC bleibt hier weiter bei seinem hauseigenen RII. Das sei EPP-nah, versicherte Schweiger. (Monika Ermert) / (psz)